Outlook ha una falla pericolosissima, possono trapelare mail e password a chiunque

Una nuova falla scoperta su Outlook potrebbe portare alla perdita di molti account, e pare che non esista un aggiornamento in grado di evitare che ciò accada.

Outlook ha una falla pericolosissima, possono trapelare mail e password a chiunque
Outlook è uno dei servizi più usati attualmente da Microsoft,  realizzato dall’azienda nel 2012 – Androiditaly.com

È stato rilevato un problema su Autodiscover, il protocollo utilizzato per la configurazione di indirizzo e-mail e password, grazie a Guardicore, e che potrebbe reindirizzare i dati degli utenti su domini esterni accessibili a tutti.

LEGGI ANCHE: Trovare i files nascosti su smartphone Android? Facilissimo, segui la nostra guida

Sembra, secondo queste analisi, che sia possibile acquistare alcuni host come “autodiscover.com” o “autodiscover.it” per ottenere le credenziali degli account, che fanno parte del protocollo Autodiscover di Microsoft, per la personalizzazione della casella di posta elettronica. Ma come viene attivato il sistema automatizzato?

Il funzionamento del software

Outlook ha una falla pericolosissima, possono trapelare mail e password a chiunque
Microsoft tende a risolvere velocemente i propri problemi, ma in questo caso pare che il bug non sia così semplice da sistemare – Androiditaly.com

Autodiscover gestisce dei dati particolari, come POP3 o IMAP4, che l’app non ci chiede poiché è una particolarità del software; infatti, noi, dovremo scrivere soltanto le nostre credenziali. Ma, a causa di questa falla, acquistando diversi domini è stato possibile ottenere 370.000 account in totale, e tutto ciò dal 16 aprile al 25 agosto.

Questa vulnerabilità avviene con una procedura particolare. Ipotizziamo delle credenziali false, come tiziocaio@outlook.com con password sempronio99. Una volta inseriti questi dati, Autodiscover si attiverà in automatico e creerà un URL basandosi sull’indirizzo e-mail, che prenderà il nome di:

https://autodiscover.tiziocaio.com/ Autodiscover/Autodiscover.xml

Se gli URL non rispondono, si passa a:

https://tiziocaio.com/Autodiscover/Autodiscover.xml

E se ancora non basta, il livello sale troppo e l’indirizzo diventa il seguente:

http://autodiscover.com/Autodiscover/ Autodiscover.xml

Come è facilmente intuibile adesso, il dominio non appartiene più a Microsoft e potrà dare a chiunque sia l’e-mail che la password dell’utente. Infatti, cercando Autodiscover.com, verremo a sapere che è stato creato nel 2002 e che è di qualcuno di cui non si sa l’identità, di conseguenza non sappiamo nemmeno se sia effettivamente un bug oppure qualcos’altro che non conosciamo.

LEGGI ANCHE: La spunta lo standard USB Type C, il nuovo standard per ricarica dispositivi scelto dalla UE

Per quanto non esista una patch in grado di risolvere questo problema, Guardicore afferma che sia possibile rifiutare le richieste DNS per i domini Autodiscover. In questo modo il protocollo non si attiverà, e quindi non sarà in grado di divulgare le credenziali.

Gestione cookie